Un homme brun vêtu d’une veste de couleur claire sourit tout en regardant l’écran de son ordinateur portable. Des icônes sont superposées à l’image : à gauche, un bouclier vert avec un curseur qui clique sur l’icône, à droite, une illustration représentant un e-mail de phishing.

Sensibilisation à la cybersécurité

À quelle fréquence faut-il mener des simulations de phishing ?

23 janvier 2024 · 15 min de lecture

Nous vivons à l’ère numérique : la technologie est omniprésente dans notre quotidien et nous sommes, de ce fait, de plus en plus exposés aux cyberattaques. Or, les tentatives de phishing comptent parmi les plus fréquentes de ces menaces. Selon notre Analyse du risque humain 2023, 80 % des professionnels de la sécurité considèrent que le phishing est un risque majeur pour leur société. Plus de 500 millions d’attaques de phishing ont d’ailleurs été comptabilisées, ne serait-ce que sur l’année 2022.

Face à ce risque qui s’amplifie, de nombreuses sociétés ont décidé d’aller au-delà des mesures traditionnelles de cybersécurité et de mettre en place des simulations de phishing. Il ne s’agit pas simplement de tester les collaborateurs, mais de les former en continu. Leur fonctionnement est simple : les employés reçoivent des e-mails qui imitent de véritables cyberattaques, mais sont totalement inoffensifs. Le but est d’aiguiser leurs réflexes pour leur apprendre à repérer les éventuelles tentatives de phishing et à les déjouer.

Autrefois, certaines sociétés avaient recours à ce type de simulations, parfois en répétant systématiquement le même scénario, pour identifier des « failles de sécurité » au sein de leurs équipes. Source de frustration pour les collaborateurs, cette façon de faire est aussi totalement contre-productive. Le véritable objectif devrait être que chacun puisse s’améliorer. Les simulations de phishing ne se contentent pas d’aider les employés à mieux retenir les informations, elles leur permettent aussi de développer des réflexes essentiels pour détecter les menaces de cybersécurité et y réagir avec à-propos.

Si vous en êtes à vous poser la question de la fréquence, c’est que vous êtes convaincu de l’intérêt de cette mesure… Vous êtes donc déjà sur la bonne voie. Choisir le moment adéquat est un facteur essentiel pour la réussite des simulations. Dans cet article, nous nous intéresserons à deux questions importantes : faut-il mener ces simulations de manière continue ou les concentrer sur une période prédéfinie ? À quelle fréquence faut-il lancer ces campagnes de simulations : toutes les semaines, tous les 15 jours, une fois par mois ou plus.

Écran d’un ordinateur portable montrant une fenêtre de navigateur ouverte avec différents éléments d’interface tels que des boutons et des curseurs. À gauche de l’écran, un élément abstrait ressemblant à un panneau de contrôle ou à des paramètres. À droite, une icône représentant un bouclier vert avec un curseur de souris qui clique dessus indiquant un bouton d’alerte phishing.

Pourquoi les simulations de phishing doivent-elles être envoyées de manière continue ?

Les simulations de phishing sont devenues la pierre angulaire des protocoles de cybersécurité dans les entreprises du monde entier. Elles sont le reflet de menaces cyber qui ne cessent d’évoluer. Deux écoles co-existent cependant à leur sujet : pour certains, cette mesure doit être instaurée en continu et évoluer avec le temps, pour d’autres, c’est un simple outil pédagogique utilisé comme support pendant certaines périodes de formation.

Chez SoSafe, nous avons constaté au fil des années combien il était essentiel de mettre en place des simulations de phishing continues pour renforcer le niveau en matière de cybersécurité. Nous ne sommes pas les seuls à l’affirmer. Les sciences comportementales l’attestent également. Voici quelques-unes des raisons qui plaident pour des simulations en continu :

Améliorer continuellement les compétences

Les simulations de phishing sont utiles dans la mesure où elles permettent aux employés de développer leurs compétences pour mieux repérer les tentatives d’attaques et y réagir à bon escient. Si elles sont pratiquées régulièrement, elles stimulent la vigilance et facilitent l’identification des tactiques employées par les cybercriminels. Au fil du temps, les employés vont devenir de plus en plus habiles pour déjouer les véritables tentatives.

Intégrer les tendances qui émergent

La cybercriminalité se professionnalise de plus en plus : des groupes très bien organisés, sachant manier des technologies de pointe comme l’intelligence artificielle, émergent. Ce sont des adversaires acharnés qui traquent chacune de nos vulnérabilités. Des recherches récentes menées par l’équipe de SoSafe spécialisée en ingénierie sociale montrent que les outils d’IA générative peuvent composer des e-mails de phishing 40 % plus vite que les humains, et que 78 % des gens ouvrent les e-mails de phishing ainsi rédigés. Une formation régulière permet aux employés de se familiariser avec les tentatives de phishing classiques, mais les prépare également à identifier et à déjouer les attaques qui impliquent l’IA et d’autres tendances cyber.

Inclure les nouveaux employés dans le processus de formation

Si les simulations de phishing ne sont conçues que comme de simples mesures ponctuelles, qui sont ensuite mises au placard pendant plusieurs mois, les nouveaux arrivants auront manqué des informations très importantes. Pratiquées de manière continue, les simulations de phishing permettent aux nouveaux employés de se familiariser rapidement avec les protocoles de cybersécurité de la société, mais aussi d’acquérir les bases pour identifier les menaces de phishing et y réagir. En intégrant les nouvelles recrues dans ce type de formation, on garantit un niveau constant de sensibilisation à la cybersécurité au sein des effectifs. Le risque de failles pouvant résulter de la rotation du personnel s’en trouve réduit.

Inverser la courbe de l’oubli

Les travaux du scientifique Hermann Ebbinghaus ont mis en lumière une réalité importante : toute information apprise est oubliée selon une courbe exponentielle décroissante, à moins qu’elle ne soit révisée ou rappelée. C’est ce que l’on a appelé la courbe de l’oubli. Les simulations de phishing régulières permettent d’inverser efficacement cette courbe puisqu’elles exposent fréquemment les employés à de fausses attaques. Ces mises en situation répétées favorisent la rétention des informations et donnent aux apprenants l’occasion de renforcer leurs compétences par la pratique.

Courbe de l’oubli d’Ebbinghaus

Entretenir une solide culture de la cybersécurité

La régularité des simulations de phishing ancre également dans tous les esprits l’idée que la cybersécurité est une priorité majeure. Les collaborateurs seront plus consciencieux dans leurs interactions en ligne et davantage enclins à signaler des e-mails suspects ou des incidents. Au fil du temps, l’évolution des mentalités permettra l’émergence d’un redoutable système de défense contre les attaques de phishing, puisque les employés eux-mêmes contribueront à la sécurité globale de l’entreprise.

Tester les réactions en cas d’incident

Des simulations régulières permettent aux équipes de sécurité de mieux identifier et de corriger les éventuels points faibles dans leurs plans de réponse en cas d’incidents. Elles préparent l’entreprise pour qu’elle sache réagir plus efficacement en cas d’attaque réelle.

Une citation de Gundula Zerbes, experte en pédagogie numérique chez SoSafe, qui dit : « La sensibilisation au phishing fonctionne un peu comme un muscle : en l’entraînant régulièrement à détecter des e-mails de phishing, on la renforce. Mais, tout comme les muscles, si l’on arrête les exercices, la vigilance diminue. Il est donc important de procéder régulièrement à des simulations de menaces sans pour autant épuiser les collaborateurs par des formations trop intensives. »

L’exposition régulière, la répétition, la consolidation des compétences et la sensibilisation sur le long terme favorisent la rétention et la mise en pratique des enseignements en matière de menaces cyber. Cette approche proactive renforce les défenses cyber de l’entreprise et maintient la vigilance des employés sur le long terme. Mais il reste à savoir à quelle fréquence exactement pratiquer ce type d’exercice.

Comment faut-il espacer les campagnes de phishing, d’après les recommandations ?

Cela dépend de la taille de la société, de son secteur d’activité, de la maturité en matière de cybersécurité et de l’évolution des menaces. Il est généralement conseillé de mener régulièrement des campagnes de phishing tout en veillant à un bon équilibre entre l’efficacité de la formation et le bien-être des apprenants.

Certains professionnels de la sécurité ont, à ce sujet, exprimé des préoccupations. Créer des simulations de phishing crédibles tout en évitant de surcharger les équipes constitue un véritable défi. Les exercices qui sont beaucoup trop réalistes ou trop fréquents peuvent stresser les employés et réduire leur productivité. Celles qui sont, au contraire, trop simplistes ou trop espacées ne sont pas suffisamment efficaces pour bien préparer les collaborateurs à gérer de réelles menaces de phishing. Il est également important de vaincre la résistance au changement : certains membres du personnel pourraient trouver ces simulations gênantes ou inutiles, et faire obstacle par leur manque de coopération ou d’engagement. Or, la confidentialité des données et la conformité sont primordiales. Pour les garantir, les professionnels de la cybersécurité doivent trouver le juste équilibre au niveau de la régularité des contrôles, pour assurer la conformité, sans pour autant nuire au travail ou au bien-être des employés.

Pour nous, l’idéal est d’envoyer un e-mail d’entraînement au phishing par mois. D’autres sources confirment cette fréquence, notamment le Cyber Resilience Centre. Ce rythme mensuel permet d’inculquer aux utilisateurs de bons réflexes de sécurité tout en évitant de les inonder de simulations, ce qui pourrait les frustrer ou les amener à se reposer sur leurs lauriers.  

Il peut être tentant de multiplier les simulations de phishing, mais les données recueillies sur notre plateforme montrent que l’envoi de plus de trois e-mails par mois peut nuire à l’engagement et de l’efficacité. Pour un résultat optimal, il faut donc plutôt se limiter à un à trois e-mails de phishing par mois. Les employés pourront ainsi renforcer leurs connaissances et aiguiser leur vigilance, sans pour autant se sentir submergés. Cette stratégie permet de maintenir à son maximum la cyberdéfense de votre société contre les menaces de phishing réelles et de l’améliorer en continu.

Tirer le meilleur parti des simulations de phishing

De plus en plus de sociétés réalisent que leur personnel joue un rôle majeur dans la solidité de leur cyberdéfense, et l’importance d’une formation et de simulations de phishing efficaces s’impose comme une évidence. Dans ce contexte, nous vous conseillons de consulter nos bonnes pratiques en simulation de phishing, des principes qui ont fait leurs preuves dans la protection des sociétés contre les dangers de l’hameçonnage.

Bonnes pratiques en
simulation de phishing

Lire le rapport

Apprenez à créer des simulations de phishing sur mesure pour votre entreprise

Vous trouverez ci-dessous quelques recommandations importantes sur les simulations de phishing présentées dans ce rapport :

  • Prévenez, au lieu de prendre les collaborateurs par surprise : le B-A-BA de toute simulation de phishing à des fins de formation, c’est la communication : avant, pendant et après la simulation. Impliquez les services informatique et d’assistance, la direction, ainsi que, si nécessaire, le comité d’entreprise et les ressources humaines. Pour que l’expérience d’apprentissage soit vraiment efficace, il est important d’annoncer la simulation de phishing à l’avance. Si les employés comprennent que ces simulations contribuent à renforcer la culture de la sécurité et à protéger la société des attaques, ils s’impliqueront plus et seront davantage disposés à apprendre.
  • Formez, au lieu de tester : si vous cherchez à rejeter la faute sur les employés qui se font piéger, vous allez rapidement décourager les bonnes volontés, ce qui nuira à l’efficacité de la formation et à la motivation de vos équipes. Il est plus efficace, sur le long terme, d’opter pour des simulations anonymes qui excluent toute collecte et analyse des données sur les comportements en ligne. Il faut expliquer en amont aux participants qu’il ne s’agit pas d’un test, que l’objectif n’est pas de traquer le moindre faux pas, mais plutôt de leur permettre d’aller à leur rythme et de se former au mieux de leurs capacités contre les menaces de phishing.
  • Préférez des scénarios inspirés de faits réels à des simulations obsolètes : les simulations de phishing doivent refléter avec exactitude le type d’e-mails de phishing que les employés sont susceptibles de rencontrer. Utilisez des scénarios récents qui illustreront de manière réaliste les situations que les collaborateurs peuvent rencontrer.
  • Privilégiez une approche éducative qui ne déroute pas les apprenants : enrichissez la simulation de phishing en ajoutant des explications pédagogiques, par exemple des modules de formation en ligne qui apparaissent si l’utilisateur clique sur l’e-mail d’entraînement au phishing et contiennent des conseils pour se protéger au quotidien ou des instructions pas-à-pas. S’il ne se passe rien lorsque les destinataires cliquent sur la simulation ou s’ils ne sont pas redirigés vers des ressources pédagogiques, ils vont peut-être se demander si l’e-mail faisait partie de la simulation ou s’il s’agissait vraiment d’une attaque. Le service d’assistance informatique risque alors de devoir faire face à un grand nombre de signalements et l’impact recherché en termes de sensibilisation sera compromis.

La mise en pratique de ces recommandations n’est pas une simple mesure de sécurité. C’est un véritable investissement dans la résilience de votre société face aux menaces de phishing et une façon active et engagée pour sensibiliser vos équipes à la cybersécurité.

Que faire entre les campagnes de phishing ?

Entre les campagnes de phishing, les sociétés ont la possibilité de renforcer leurs défenses cyber et de maintenir la vigilance au sein de leurs équipes. Il ne faut pas considérer ces intervalles comme des pauses inutiles, mais comme des opportunités pour évaluer, éduquer et enrichir les compétences de chacun. Voici quelques idées de choses à faire entre les campagnes de phishing pour optimiser leur efficacité :

Infographie intitulée « Que faire entre les campagnes de phishing ». L’infographie énumère quatre points importants, numérotés dans des cercles verts.
  • Recueillir des données concrètes : consultez les rapports générés lors des simulations de phishing pour avoir une idée plus nette de la cybersécurité au sein de votre entreprise. Par exemple, si le service marketing a identifié le taux de clics maximal pour un type précis d’e-mails de phishing, vous pouvez proposer une formation sur mesure pour aider les employés à s’améliorer face à cette forme de menace en particulier. Vous pourrez ainsi personnaliser votre stratégie de défense en l’adaptant aux vulnérabilités que vous observez et en sélectionnant des modules qui renforceront efficacement la résilience de votre équipe.
  • Cibler les actions : s’il est important de proposer une formation de base qui aborde les techniques standard de prévention : s’assurer de l’origine de l’e-mail, examiner attentivement son contenu, etc., il est tout aussi essentiel de cibler précisément les points faibles de vos collaborateurs. Il convient donc de mener des campagnes distinctes pour corriger les vulnérabilités qui ont été identifiées. Les sessions de formation doivent ainsi être régulièrement complétées par des simulations de phishing pour garantir une progression visible et maintenir toute l’équipe sur le pied de guerre grâce à des scénarios actuels.
  • Sensibiliser en continu : il est essentiel de tenir votre équipe informée des dernières stratégies de phishing, des techniques de pointe et des procédures actuelles. Il existe des fonctionnalités intégrées dans MS Teams comme Sofie Rapid Awareness pour fluidifier ce type de communication et attirer rapidement l’attention de votre personnel en cas de messages ou de nouveautés importants au sein de la société.
  • Favoriser le partage d’expérience : créez des forums internes où les employés pourront échanger ouvertement sur leurs expériences de tentatives de phishing et sur les leçons qu’ils en ont tirées. Il faut cultiver un bon état d’esprit autour de cette thématique pour encourager le signalement d’e-mails suspects ou d’incidents. Un tel environnement mettra les employés à l’aise, si bien qu’ils n’auront pas peur d’exprimer leurs éventuelles préoccupations en matière de sécurité. La cybersécurité de toute la structure s’en trouvera renforcée.

Les actions menées entre les simulations de phishing peuvent grandement influer sur la capacité de votre entreprise à réagir face aux menaces cyber. Il est temps que les sociétés renforcent leurs défenses, tirent des leçons de leurs expériences passées et impliquent leur personnel en veillant à ce qu’il soit informé, motivé et apte à contrer efficacement les attaques de phishing.

Comment SoSafe peut vous aider à organiser vos campagnes de phishing

Nous déployons tous nos efforts pour rester à la pointe de la cybersécurité et actualisons nos contenus en fonction des tendances les plus récentes en matière de phishing. Les simulations de phishing de SoSafe intègrent continuellement les dernières tactiques et inventions des hackers pour fournir un contenu actualisé et prêt à l’emploi qui aide les sociétés à se défendre efficacement contre des menaces en perpétuelle évolution. Cette forme d’enseignement informel et implicite, associée à des explications pas-à-pas contextualisées rédigées par des spécialistes, permet aux employés d’acquérir des réflexes de protection profondément ancrés. L’expérience est personnalisée et passe par différents canaux pour améliorer les compétences d’auto-défense sur tous les tableaux. En effet, selon notre Analyse du risque humain 2023, l’association d’une formation en ligne gamifiée, de simulations de phishing et d’outils de signalement contextualisés augmente de jusqu’à 80 % le taux d’alerte phishing et réduit les menaces qui pèsent sur votre entreprise. 

L’intérêt que vous portez à nos simulations de phishing ou à notre plateforme de sensibilisation holistique à la cybersécurité est un pas dans la bonne direction : celle d’une défense numérique plus solide. Demandez une démo : l’un de nos experts en cybersécurité vous présentera notre plateforme et vous montrera comment elle peut être utile à votre équipe, en l’aidant à déjouer les menaces cyber et à améliorer la sécurité à l’échelle de l’entreprise. 

Cyber Security Awareness Blog